lunes, julio 24, 2006

El Santo Grial

Hay días y días.

Hay días en que estás tan ocupado con el curro que no te puedes parar nada más que en cosas importantes y/o urgentes, pero también hay otros días en los que el diablo, cuando no sabe que hacer mata moscas con el rabo.

Hoy es un día en el que estoy tranquilo, tan tranquilo que hasta me aburro, me he bañado en la piscina 4 veces, me he tomado un melocotón, un helado de turrón y me he leido un comic de Warren Ellis de 300 páginas.

He llamado al abuelo, he llamado a amig@s, he visto la tele,... pero aún me ha sobrado algo de tiempo. Así que, me he puesto a surfear y rebuscar en la basura a ver que cosas antiguas tengo por ahí.

Hasta que me he acordado que debía un comentario a mis amigos después de la conferencia en la Fundación Dédalo.

Allí, Sergio Montoro, tras acabar la conferencia y ser superagradable con nosotros escribió este post en su blog http://www.lapastillaroja.net/archives/000897.html

No me pareció mal post, pero por desgracia, nosotros nos entrenamos solitos, y sí, es cierto, buscamos datos, muchos datos, 22 horas al día dedicadas a la seguridad, ese es el curro. Es difícil dar una sesión y esperar que te crean sólo por tu cara bonita, así que, no me creas, sólo busca los datos.

En un post mucho más ofensivo y polémico nos ponían, y a mi personalmente, a caer de un burro: http://mnm.uib.es/gallir/posts/2006/04/26/715/

Así patxangas decía: "P.D Cada día le tengo más tirria al sistema de comercial enrollado tipo Chema alonso que van de gurus y luego no son más que unos vende_elixires_crecepelos"

Patxangas es un buen tipo, y de hecho me cae bien; vino a verme a dar una sesión en Pamplona (a la que él mismo me había recomendado) tiempo después y nos saludamos y me invitó a visitar su empresa "la próxima vez que subiera"; y yo encantado.

La verdad, es que cuando te dedicas a lo que me dedico yo, tienes que llevar bien la crítica, porque si no, te puede dar algo. Yo lo llevo bien y de hecho disfruto en estos días en los que "hasta me aburro".

Luego Sergio, escribió otro post, en el que un amiguete había analizado las llamadas de Apache y de IIS y como son más simples las de Apache había sacado como conclusión que es más seguro. (Creo que ya puse un comentario sobre esto tiempo ha). El caso es que al final hay un link que me encanta. Es el camino hacia el Santo Grial: http://www.lapastillaroja.net/archives/000905.html

El link dice: "Demostrado que el Software Libre tiene menos fallos". Así que avanti, hacemos click y llegamos a un post de un tipo que dice que existe un estudio de la universidad de Stanford que demuestra que el Sw propietario tiene de 20 a 30 fallos por cada mil lineas de código y linka a la Universidad de Stanford (a la home page, con 2 guevos y ahora busca tú allí).

Este artículo que referencia a este famoso estudio lo he visto por muchos sitios, incluso Patxangas, que se quejaba de los "que van de gurú y son vendedores de nosequé" escribió otro post similar con el título: "Demostrado el menor índice de fallos del Software Libre" http://investic.interzonas.info/entrada.php?op=ViewArticle&articleId=365&blogId=6
y de igual forma linka a otro artículo que linka en Stanford a un grupo de investigación donde hay varios estudios, pero ninguno de ellos tiene ese famoso informe. En dicho post Patxangas, saca parte del informe de Coverity (http://scan.coverity.com/) y luego pone los datos del "Santo Grial" de 20 a 30 (viva la exactitud de datos.

El caso es que cuento mucho esta anecdota y en una de las últimas charlas alguien de "nosequé" (y que me perdone que realmente no me acuerdo de su puesto) de Debian me dijo que ese informe no existía.

Y la pregunta es:

¿Cómo se puede realizar un estudio como el de coverity que se genera mediante el análisis automático del código fuente si el software propietario no tiene publicado el código?

Incluso alguien me referenció tb por akí al Santo Grial.

En fín, viva el verano!.

18 comentarios:

Anónimo dijo...

Hermano, hermano...Tú mismo lo has dicho.. Gilipolleces se escuchan a diario. Es lo malo de opinar, que es free...;-)
Viniendo al caso te voy a poner un link a mi blog (no pretendo hacer publicidad, que el señor nuestro Dios me libre..) de una noticia que acabo de leer en la portada de Barrapunto, y que en el mejor de los aspectos es... Dantesca. Pa mear y no echar gota...
Como mi blog no tiene tanta aceptación como el tuyo, te paso la pelota. Así que espero le eches una ojeada al artículo en sí, y escribas un artículo en tu blog a modo de contraofensiva...
Con las gilipolleces se puede hacer mucho daño... Tú lo sabrás mejor que mucha gente..
Saludos maligno!

Anónimo dijo...

Uppss... Cuando me emociono pulso Enter... ;-)

How-To hacer daño sin tener ni puta idea

Chema Alonso dijo...

La verdad es que alguien (a quien respeto pq es un tipo encantador) me dijo que Windows 2003 había mejorado mucho porque tenía algo similar al cron que se llamaba "at".

.....

esperemos que algunos descubran el runas en Windows Server 2034.

Anónimo dijo...

Wenas.. sabes? eso de que te digan una informacion y despues te manden a la pagina principal y que busques la informacion me recuerda a ese Hoax que seguro que nos ha llegado a todos que dice "Cierran Messenger", que no es broma y que vayas a www.msn.com.

En fin, que de la misma forma puedo decir que un estudio de la NASA confirma la existencia de vida extraterrestre que usa Linux en sus naves interestelares, mas informacion en www.nasa.gov.

El caso es que mucha gente lee las cosas y se lo cree sin mas, sin replantearse los datos, sin contrastarlo con otras fuentes. Es como los Hoax que circulan por ahi, el niño que nacio sin cabeza y cada vez que reenvies el email le daran 0,5$ para ponerle una cabeza, o el que comentaba antes de que cierran el Messenger.

Anónimo dijo...

Hola Chema, y a todos. Es la primera vez que entro en tu blog, y me ha parecido pero que muy interesante y revelador. Lástima que haya tardado varias horas en recuperar la vista... el oculista me ha dicho que no lea más texto blanco sobre fondo azul si no quiero perder la córnea, y que lo del rojo sobre el mismo fondo azul no tiene nombre... :)

Buen rollo. Espero poder asistir a alguna de tus charlas, aunque no sé si sólo se convocan para profesionales del sector de la seguridad informática (que no lo soy).

Saludos

Chema Alonso dijo...

Hola Holita!

Que tal Ivan?? Ya tenemos fecha de regreso al Boecillo, bueno la verdad es que ya tenemos como 8 fechas para regresar a varias ciudades donde vamos a hacer la gira de seguridad de este año. Ya avisaré por aquí.

El rollo del fondo azul viene de mi querido y endemoniado Amstrad, nunca podré superar el que los fondos pasarán del verde/naranja o azul al negro!!

En cuanto a las charlas Dani, suelen ser técnicas pero intento que sean fácil de entender, explicandolo de forma sencilla y nada compleja, que luego las cosas no son tan complicadas!!

Y a todos los demás, en la "sección autobombo" os pongo el link a la noticia de ayer del ciberpais para los que no la hayáis visto. La entrevista y las fotos son de Mayo, justo después de la fiesta de Champions del Osasuna y la conferencia con resaca en E-Natech.

Ciberpais

Anónimo dijo...

"Es como el que llega a una discoteca y dice que no quiere ligar con una rubia porque busca morenas. Nadie desprecia una intrusión por el tipo de software que se encuentra cuando comienza a entrar".
jajajajajajajajajajajajajajaja

gogoz

Benigno dijo...

Lo de la sección autobombo... puff.

Permíteme un consejo, que lo mismo es el único consejo que puedo darte yo a tí ;-) : nunca hagas algo así de pedo o resaca porque puedes decir algo de lo que arrepentirte.

Y es que en tu noticia de elpais ofrece "datos" de los que "aprender" mucho, quizá demasiado.

Resúltesé que según elpais.es el señor Chema Alonso es contratado por Microsoft, cuando él en sus charlas y aquí mismo reniega de esa afirmación... pfff, vale.

Por otra parte, cuando, como tú mismo dices, te dedicas a usar los mismos juguetes que los críos para juancarlear sistemas (herramientas de hackeo tipo "siguiente > siguiente > siguiente") pues no se, la gente se preguntará "¿y si yo hago una conferencia de como usar la minipimer para hacer mayonesa se creerán que soy un genio en algo, aunque sea en hacer mayonesa?".

Por otra parte ofreces datos tan reveladores como "No hay que olvidar que la media de intrusiones no autorizadas realizadas con éxito es de 2.500 cada día". Dato esclarecedor. Eso... ¿en españa, en europa, en el mundo o en la via lactea?. Nada mejor como una buena cifra (a poder ser miles o millones) como para parecer que eres la hostia.

Para finalizar. ¿Tus argumentos no son demasiado buenos? Lo digo por tu gran dependencia de hacer de lo tuyo un espectáculo. ¿Quizá porque si fuera técnico tendrías las de perder? Así que Eloy Arenas, que es tu amigo, se ha inspirado en ti para hacer un personaje de tu última obra. Vaya, gran argumento para defender tu valía en el siglo veintiuno. Asi que eres amigo de Eloy Arenas... pues menos mal que no eres íntimo de Raul Sender, porque sino los linuxeros lo tendríamos jodido...

Pero todo esto de buen rollo eh, :-)

Chema Alonso dijo...

Jajaja.

Gracias por el consejo Benigno! Después de llevar varías entrevistas ya estoy acostumbrado a que no salga siempre lo que dices sino lo que se interpreta. Fernando, que es el periodista es un tipo genial y ha querido transmitir una sensación de una conferencia donde me vio y de otras en las que había oido hablar. El artículo no es técnico (y no lo he escrito yo).

Lo de Contratado por Microsoft, como bien sabes, no curro en Microsoft, pero MS me contrata algunas acciones como los Security On Sites o planes de colaboración con el estado. En las conferencias de de la giras no me ha contratado, ni en las conferencias de e-natech, etc.... Pero bueno, no queda mal como Fernando lo ha escrito (es divulgativo).

Lo de hacer ver que es fácil no trata de enseñar herramientas de solo siguiente->siguiente (pero si puedo hacerlas con esas prefiero usarlas) para que la gente se apunte a ser un malo, sino que se prepare sus sistemas, pq cualquiera puede atacarte y no es dificil.

En cuanto a lo de las 2.500 intrusiones por día. Es un dato de 2004 de Zone-h y está en su informe resumen del año, pero no debe tener tanto sitio Fernando en el artículo para expresarlo, los que hayais venido a mis charlas lo habréis visto pq lo he sacado en muucha ocasiones. Dame un mail y te lo mando compi.

Por último yo soy técnico y lo de hacer las charlas divertidas, pues me parece bien. No me parece a mi que mis charlas sean tan, tan, tan entretenidas, pero me gusta que a la gente le guste. Las sesiones en las que hacemos el subnormal son las mejores para mi. ME ENCANTA!. Soy como un Loca DragQueen. Que le vamos a hacer!.

Eloy Arenas es mi amiguo desde hace más de 10 años y lo de la obra ya lo publiqué aquí, en tres posts "Entiendeme Tú a mi". En la nueva obra (que va de un hacker) el prota no lleva mi nombre y hace el papel Eloy Azorín.

Pero....para que disfrutes más con cosas técnicas, os voy a publicar el artículo de E-security de la revista de los meses de Junio y Julio para que volvamos al tema.

Besotes Benigno y.... ¿No te apuntas a ningún equipo en el Deathmatch?

Chema Alonso dijo...

Perdona Benigno, se me olvidaba,
¿Encontraste el Santo Grial?

Benigno dijo...

"Santos Griales" se están descubriendo muchos últimamente, tanto en el lado del "bien" como en el del "mal", a ver si actualizo mi blog...

Con lo del Deathmatch pues me parece buena idea y me gustaría ir, no se si podré ir porque "sólo" me quedan un par de semanas de relativa calma hasta que empieze un proyecto con un colega, el cual espero que me robe mucho tiempo :-)

Por cierto, por saberlo, ¿es algo parecido a esto pero más completo? (Había un enlace donde estaba mejor relatado pero no lo encuentro)

Saludos

Chema Alonso dijo...

Ja,Ja,Ja.

De verdad que no puedo parar de descojonarme tronko!!!.

Jajajaja.

Supongo que será distinto. Te dejo un link a una foto del "contest". No puedo de creelmelo. Pero tío!! Te has fijado en el slogan??? http://www.flickr.com/photo_zoom.gne?id=177848571&size=o OpenSoftware Vs Evil Propietary. Increible.

Tú crees que el reto fue justo???

jajaja

Vamos, ¿Pq no les invitas a ellos a que participen en el Deathmatch?? Creo que iba a estar molón.

Espera antes de irme: JAJAJAJA

PD: JAJAJAJA, Evil Propietary, JAJAJAJA, si es que ya te lo digo, que estamos en el lado del mal. jajajaja.

Gracias por el link Benigno, es muy bueno.

Benigno dijo...

Pues me alegro de que te rías porque supongo que esa era la intención del título...

Hombre, no será la prueba más "científica" del mundo. Solo fue un intento de demostrar (y creo que salió bien) que ni Windows es tan fácil (sé que en tus charlas dices que no lo es, pero hijo, en la pantalla de instalación del EquisPé te cansas de leer que sí lo es) ni GNU/Linux tan dificil.

Los dos tenian que hacer lo mismo, instalar SO, actualizar, instalar software, reproducir multimedia, etc, y el de Ubuntu "ganó" creo que por un cuarto de hora.

Chema Alonso dijo...

Mira Benigno, en una "competición" en la que el título es "OpenSource VS Evil Propietary" tal vez, solo tal vez, algo de parcialidad haya podido exisitr, aunque sea solo para pintar al malo. ;)

Pero no te preocupes, estaría bien que los que han ganado allí se apunten al deathmatch para hacer un equipo campeón.

Respecto a la prueba de Instalar el SO, supongo que le habrá ido mejor que la que te mando aquí de Debian en un portatil. Me encanta leer, sobre todo, la parte de como se configura la Wireless, con el modprobe crc32 y la configuración WEP.

Debian en Portatil

Benigno dijo...

Venga Maligno, te juro que cuando pongo un post hasta tiemblo, porque pienso "este tío me va a demonstar mis argumentos con cinco segundos de tecleo", pero otras veces, como esta, no se si te estás dejando...

Pero es que no instalaron una Debian sobre un portátil, sino una Ubuntu en un sobremesa. Así que si la próxima me dices "sí... pero porque no instalaron netbsd sobre un ipod?" pues te diré, es que instalaron Ubuntu en un sobremesa, y así indefinidamente ;-)

Y como ves hasta podemos elegir, dificultad pero control "absoluto" del tema o facilidad pero delegando responsabilidad en el sistema (que en principio es este último rol lo que "culturalmente" se ha adjudicado a Windows, correcta o incorrectamente). Para cada elección tienes varias distribuciones, y seguimos teniendo un GNU/Linux en nuestro sistema y parece que más fácil que con Windows.

En cuanto a lo de instalar hardware, parece que una vez más volvemos al tema fabricantes y falta de drivers. Supongo que te sonará de Windows Me, de Win XP 64, del Vista pero no visto, etc. Aún así, a parte de llorar a los fabricantes, nos vamos resolviendo nosotros mismos la papeleta, aunque el proceso se complique un poco.

Chema Alonso dijo...

Hola Benigno!

la verdad es que no me lo he tomado muy en serio, pq después de ver las fotos y el concurso, no he buscado mucha más información. En parte, pq tú me dijiste que no habías encontrado mucha más, en parte pq no me creo que tú te lo hayas tomado en serio, pero si te apetece analizamos tú y yo el concurso, a lo mejor sacamos conclusiones buenas ambos.

En cuanto a lo del portatil con Debian, era solo para pasar un buen rato, pq mola mogollón el texto! jejeje

Por cierto tio, ¿cuando quedamos para tomar un arroz? Ya te has ganado una invitación.

Esta noche pongo un post sobre el deathmatch, hablando de este concurso de ubuntu ganador y lo analizo con más calma.

Saludos!!

Benigno dijo...

Es que eso es lo que intentaba decirte, te tomaste demasiado en serio el título, que si es imparcial etc. Yo dije que he leído más sobre eso pero no lo encontré.

Pero si miras los vídeos del youtube te darás cuenta que es otro rollo, que no van a demonizar nada, solo pasar un buen rato e intentar dar una pista, más o menos válida, del mito de la dificultad o facilidad de windows o linux.

Que te encanta buscarle tres pies al gato :P

Chema Alonso dijo...

No me lo puedo ni de creer. He visto el video y decía, ¿de que me suena esa sala? Al final veo los cursos y... Es la uni de Deusto en Bilbao!!!. Y Txipi(quien va con Windows!!!!) es con quien tuve "la peta" en la euskalparty en el año 2005! (y te aseguro Benigno que no era muy pro-spectra!)Mola verle hacer de abogado del diablo. Además veo a más caras conocidas por allí de algún club, jeje. He llamado por teléfono a un amiguete de allí que me va a contar cosas en vivo y en directo!!

Bueno, bueno, bueno.... Por lo menos se han reido.

os dejo el video!!

video

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares